觀點

偽裝成更新的惡意軟體 US-CERT建議停用Java

2013 / 01 / 21
編輯部
偽裝成更新的惡意軟體 US-CERT建議停用Java

甲骨文(Oracle)日前才修補Java最新零時差漏洞,詳情請見Java 重大安全漏洞 甲骨文火速釋出更新,後續卻風波不斷,資安公司觀察到,網路上出現偽裝成Java更新程式(Java 7 Update 11)的惡意軟體,US-CERT(美國國土安全部電腦警備小組則表示,更新後的Java程式依舊不安全,並呼籲全球使用者最好立刻解除瀏覽器上的Java程式。

趨勢科技於1/17發出安全警告,指出已經在不只一個網站上偵測到偽裝成Java 7 Update 11的惡意軟體,使用者要特別留意更新程式的來源。一旦安裝這個偽造的更新程式,就會自動下載後門程式至電腦中,同時會連到遠端伺服器,讓遠端伺服器可以控制該台電腦。

US-CERT則建議使用者最好暫時停用Java,因為Java仍然存在著其他未修補的漏洞,許多資安專家也同意這樣的說法,資安公司Immunity指出,甲骨文只修補了一個漏洞,另一名資安專家Brian Krebs則發現有人在黑市兜售新的Java漏洞,這些訊息再度證實US-CERT的疑慮。

Brian Krebs在KrebsOnSecurity部落格指出,有人在論壇上發文表示,已經掌握一個新的Java零時差漏洞(包含攻擊工具與程式碼),且該漏洞未曾出現在任何攻擊套件中,希望以5000美元價格販售給兩位買主。該訊息發布不久之後很快就被刪除,市場認為應該是兜售者已經找到買主。

許多資安專家表示,多數使用者實際上不需要使用Java,因此移除Java不會造成任何影響,至於那些需要仰賴Java程式的用戶,則建議使用Firefox或Chrome瀏覽器,透過其內建的Click To Play功能,將外掛程式預設為停用,等到需要使用時再點擊下載和播放,以降低風險。

由於Java是跨平台技術,Windows及Mac皆可使用,因此越來越多駭客運用Java漏洞進行攻擊,其安全問題在過去一年來吵得沸沸揚揚,也令許多企業和用戶感到相當頭痛,根據卡巴斯基(Kaspersky)報告,2012年第三季,至少有一半以上的駭客都運用Java漏洞展開攻擊。由此觀之,甲骨文需要採取更好的措施,才能避免讓Java繼續淪為駭客的攻擊工具。